пятница, 30 ноября 2012 г.

Портал НП "АБИСС" по проведению оценки соответствия по 382-П

На прошедшей 28 ноября конференции "Развитие НПС - состояние и перспективы" Павел Гениевский поделился новостью о создании на площадке НП "АБИСС" специализированного портала по проведению оценки соответствия по требованиям Положения Банка России от 09 июня 2012 № 382-П.

С помощью этого портала НП "АБИСС" планирует предоставлять для кредитных и некредитных организаций - участников НПС, доступ к средству автоматизации оценки соответствия, с использование которого организации смогут оценить степень своего соответствия требованиям по защите информации при осуществлении переводов денежных средств, предъявляемых Положением ЦБ № 382-П:
Рис. 1. Интерфейс средства автоматизации оценки соответствия по 382-П
и подготовить необходимую в соответствии с документами Банка России формы и отчеты (Положение ЦБ 382-П и Указание ЦБ 2831-У - форма 0403202), а также дополнительные аналитические выгрузки:
Рис. 2. Документирование результатов оценки соответствия. 
Также, в рамках портала НП "АБИСС" планирует осуществлять методологическую поддержку кредитных и некредитных организаций - участников НПС, в том числе: размещать необходимые информационные материалы, реализовывать возможность получения консультаций экспертов по вопросам, связанным с Положениям №382-П.

Доступ к порталу НП "АБИСС" планирует предоставляться для зарегистрированных на сайте партнерства участников НПС на бесплатной основе. 

вторник, 27 ноября 2012 г.

Вебинар по защите персональных данных от компании ЛЕТА

29 ноября мои коллеги будут проводить вебинар по тематике защиты персональных данных (начало в 11-00), в рамках которого будут рассмотрены наиболее злободневные вопросы защиты ПДн и текущей нормативной базы.

Также в рамках вебинара будет представлен новый онлайн-сервис сервис компании ЛЕТА - www.152pro.ru, который призван помочь небольшим организациям в реализации требований 152-ФЗ «О персональных данных». Основной функционал 152pro: формирование пакета необходимой внутренней документации, проведение организационных мероприятий, выбор необходимых технических средств защиты. 

Полная программа вебинара следующая: 
  • Общие сведения о законодательстве в области обработки ПДн (область действия, для чего это нужно и т.д.).
  • Последние изменения законодательства (наиболее значимые изменения, начиная с выхода действующей версии закона)
  • Краткий анализ изменений порядка построения СЗПДн (в связи с принятием нового ПП РФ №1119). Сравнение «как было» - «как стало».
  • Положения ПП РФ №1119, вызывающие вопросы и недоумение, а также ответы на эти вопросы.
  • Что делать операторам, которые только закончили работы по построению СЗПДн в соответствии с требованиями утратившего силу ПП РФ №781.
  • Что делать операторам, которые на текущий момент ведут работы по построению СЗПДн (т.е. начали эти работы до вступления в силу ПП РФ №781), до тех пор, пока не появятся разъясняющие документы ФСТЭК, ФСБ.
  • Опыт проверок.
  • Представление нового сервиса ЛЕТА для выполнения требований закона "О персональных данных" - 152pro.ru. 
Зарегистрироваться на вебинар можно по следующей ссылке.

Спешите и Вы еще можете успеть.
Количество мест ограничено!

четверг, 15 ноября 2012 г.

Сравнение методик оценки соответствия СТО БР ИББС и 382-П

В последнее время довольно активно занимался проработкой тематики защиты информации в национальной платежной системе, в частности вопросов проведения оценки соответствия требованиям Положения Банка России от 09.06.2012 № 382-П, а также связи Комплекса БР ИББС и новых нормативных документов по защите информации в НПС. 

В результате получил вот такие вот две диаграммы, отражающие соответственно логику проведения оценки соответствия по требованиям СТО БР ИББС-1.0-2010, а также требованиям Положения № 382-П. 

Рис. 1. Методика СТО БР ИББС-1.2-2010 оценки соответствия СТО БР ИББС-1.2-2010

четверг, 8 ноября 2012 г.

Дебют в первом номере журнала "!Безопасность деловой информации"

Ассоциация "DLP-Эксперт" выпустила первый выпуск журнала "!Безопасность деловой информации" - нового ежеквартального издания, посвященного актуальным вопросам информационной безопасности.

В числе авторов первого выпуска попал и я со статьей на тему "Реализация требований законодательства в организациях банковской системы РФ: основные проблемы и решения" (в соавторстве в Костей Малюшкиным).

В рамках статьи мы рассматриваем следующие три проблемы, с которыми сталкиваются подразделения ИБ при реализации многочисленных требований законодательства:
  • Обилие пересекающихся между собой требований;
  • Недостаток ресурсов;
  • Низкий уровень осознания проблема ИБ руководством.
Сам журнал "!Безопасность деловой информации" доступен к просмотру сразу в нескольких форматах: Онлайн чтение, PDF, SlideShare - что очень удобно. 

вторник, 6 ноября 2012 г.

Вебинар по защите информации в НПС

Завтра (07/11/2012) мы с моим коллегой Константином Малюшкиным будем проводить вебинар, посвященный тематике защиты информации в национальной платежной системе.

В рамках вебинара буду рассмотрены следующие темы: 

  • Основные нормы и структура национальной платежной системы (НПС). 
  • Требования законодательства и документов Банка России по защите информации в национальной платежной системе. 
  • Применимость требований к различным категориям субъектов НПС. 
  • Контроль за соблюдением требований к защите информации в НПС. 
  • Организация и проведение оценки выполнения требований к обеспечению защиты информации в НПС. 
  • Сравнение требований информационной безопасности Положения Банка России № 382-П и стандарта Банка России СТО БР ИББС-1.0-2010. 
  • Практические моменты реализации требований нормативных документов по защите информации в НПС в организациях – субъектах НПС. 
Участие в мероприятии бесплатное, предварительная регистрация участников обязательна. 

Количество мест ограничено, предпочтение будет отдаваться действующим и потенциальным клиентам/партнерам компании LETA.

Зарегистрироваться на вебинар можно по этой ссылке.

Вы еще можете успеть поучаствовать! 


понедельник, 5 ноября 2012 г.

CISM грядет!

В последнее время довольно плотно занялся подготовкой к сдачи сертификационного экзамена CISM, в связи с чем, наряду с всеобщим осенним повышением градуса на рынке ИБ, моя активность в блоге значительно просела, так как подготовка к экзамену заняла большую часть свободного времени.

Так, в рамках подготовки к CISM на этой неделе побывал на подготовительных курсах, организованных Академией Информационных Систем при поддержке Российского отделения Ассоциации ISACA, информацией о которых и хотел с вами поделиться. 

Напомню, что для подготовки в самому экзамену существует официальный мануал от ISACA на английском языке в котором описываются 4 домена CISM, по которым в дальнейшем и организуется тестирование в рамках экзамена:

  • Information Security Governance 
  • Information Risk Management and Compliance 
  • Information Security Program Development
  • Management Information Security Incident Management

Каждому из доменов в рамках обучения в АИС было посвящено по полдня. Т.е. за день мы проходили по 2 домена. 

Само обучение проходимо по официальным презентациям ISACA, однако содержимое презентаций отнюдь не дублировало содержимое мануала CISM, т.е. целью обучения является не рассказ информации, содержащейся в официальном мануале, а структурирование данных и, где возможно, привнесение дополнительных сведений. Как пояснили сами преподаватели, данное обучение по сути рассчитано на два типа слушателей: 
  1. Тех, кто только начинает подготовку к CISM и в начале хотел бы получить обзорную информацию по  материалу; 
  2. И тех, кто уже прочитал мануал и хочет структурировать свои знания в рамках обучения и получить ответы на возникшие вопросы. 

Если это действительно так, то в отношении первой категории слушателей, кои, к моему удивлению, были на обучении, надо им уже брать руки в ноги и уходить с головой в подготовку, если они все-таки рассчитывают сдавать экзамен в этом году. Напомню, что сам экзамен не за горами - уже 8 декабря, т.е. по факту остался всего месяц времени на подготовку, а это, могу сказать по своему опыту, очень и очень мало, так как на каждый из доменов при нормальном прочтении и прогоне вопросов из тестовой базы, уходит порядка 2 недель. 

Из полезных практических моментов по сдаче экзамена, которые были озвучены на обучении: 
  • Больше времени на тренировку и решение тестовых вопросов, только достигнув уровня в 90-95 % правильных ответов по тестовым вопросам, можно говорить о успешной подготовке к сдаче.
  • Важность понимания вопросов и выделения ключевых слов в них. Это касается не только слов "MOST", "BEST", "FIRST", но и деталей самого вопроса, что спрашивают и в применении к какой деятельность, например "strategy development" или "strategy  implementation", так как от таких моментов зависит и правильность ответов. 
  • Крайняя необходимость дополнительных знаний по ИБ, как знание различных стандартов и подходом в обеспечении ИБ (ISO 27k, NIST, COBIT, ITIL и др.), так и общее знание технологий обеспечения ИБ - это в общем и понятно, все-таки сертифицированный Менеджер по ИБ. 
В общем само обучение мне понравилось, было интересно послушать интересных людей и получить дополнительную информацию и ЦУ по сдаче экзамена. Помимо самого обучающего курса АИС 25 ноября проводит тестовый экзамен по CISM, на котором можно будет проверить свои знания за 2 недели до экзамена. Единственное ограничение тестового экзамена это то, что будет на 200 вопросов на 4 часа, а 100 на 2 часа.

Для тех же, кто только задумывается или уже планирует сдавать экзамен CISM привожу следующую подборку полезной информации по этому экзамену: 

среда, 5 сентября 2012 г.

Реестр операторов платежный систем пополнился некредитной организацией

Сегодня (05.09.2012) Банк России внес в реестр операторов платежных систем еще одну организацию - Закрытое акционерное общество "Национальные кредитные карточки" (ЗАО "НКК"), Платежная система NCC (NATIONAL CREDIT CARDS). 

Примечательным в этом случае является то, что ЗАО "НКК" - первая некредитная организация, зарегистрированная в качестве оператора платежной системы. Исходя из этого, в рамках этой платежной системы реализовано разделение различных функций операторов услуг платежной инфраструктуры. Так функции операционного центра и платежного клирингового центра выполняет непосредственно ЗАО "НКК", а в качестве расчетного центра в соответствии с требованием п. 6 ст. 15 161-ФЗ ЗАО "НКК" привлекает кредитную организацию - ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК".

Таким образом на текущий момент в рамках НПС у нас уже четыре платежные системы: 
  • Платежная система Банка России (но основании 161-ФЗ и Положения ЦБ РФ от 29.06.2012 № 384-П "О платежной системе Банка России");
  • Платежная система CONTACT;
  • Международная платежная система денежных переводов "ЮНИСТРИМ". 
  • Платежная система NCC (NATIONAL CREDIT CARDS).
Напомню, что реестр операторов платежных систем публикуется Банком России в соответствии со 161-ФЗ "О национальной платежной системе" (статья 15) и Положением Банка России от 02.05.2012 № 378-П "О порядке направления в Банк России заявления о регистрации оператора платежной системы" (п.п. 2.3 и 2.4).

Сам реестр размещается на сайте ЦБ тут.

пятница, 31 августа 2012 г.

Рекомендации по оформлению документов, направляемых в Банк России в целях регистрации операторов платежных систем

Банк России на своем сайте опубликовал рекомендации по оформлению документов, направляемых в Банк России в целях регистрации операторов платежных систем, подготовленные с учетом практики рассмотрения этих документов.

Документ в большей степени содержит общие рекомендации в отношении комплектности и оформления документов, а также Правил платежной системы, но есть и отдельные моменты связанные с ИБ. 

Так Банк России еще раз рекомендует непосредственно в Правилах платежной системы:
"2.12. Определять требования к защите информации. При формировании указанных требований следует руководствоваться Постановлением Правительства РФ от 13  июня 2012 г. № 584 «Положение о защите информации в платежной системе» и Положением Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Есть пару моментов и в отношении бесперебойности и управления рисками в платежной системе: 
"2.7. Раскрывать порядок обеспечения бесперебойности функционирования платежной системы в соответствии со структурой, установленной пунктом 4, и с учетом требований пунктов 5-7 Положения Банка России от 31 мая 2012 № 379-П «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах».
2.8. Определять систему управления рисками в платежной системе, включая используемую модель управления рисками, перечень мероприятий и способов управления рисками, с учетом требований статьи 28 Федерального закона № 161-ФЗ. Перечень мероприятий должен быть составлен с учетом требований части 3 статьи 28 Федерального закона № 161-ФЗ. Перечень способов управления рисками определяется с учетом требований части 4 и части 5 статьи 28 Федерального закона № 161-ФЗ.
2.11. Раскрывать порядок (процедуру) взаимодействия субъектов в рамках платежной системы не только в спорных, но и чрезвычайных ситуациях."
В остальном рекомендации в большей части затрагивают процедурные моменты.

Напомню, что порядок регистрации операторов платежных систем определяется ст. 15 161-ФЗ  и Положением Банка России от 02.05.2012 № 378-П "О порядке направления в Банк России заявления о регистрации оператора платежной системы", а на текущий момент официально зарегистрировано только два оператора платежных систем.

Полный текст рекомендаций - тут.

понедельник, 27 августа 2012 г.

Применимость требований 382-П к различным категориям субъектов НПС

В продолжение заметки Алексея Лукацкого про правильность чтения требований Положения Банка России №382-П, хочу поделиться следующей статистикой, полученной в ходе как раз такой разбивки требований по субъектам НПС. 

На рисунке ниже приведено распределение требований в количественном (сверху) и процентном соотношении от общего количества требований 382-П (снизу). Напомню, что в Приложении 2 к 382-П всего приведено 129 различных требований к обеспечению защиты информации при осуществлении переводов денежных средств, выполнение которых проверяется при проведении оценки соответствия.   

На рисунке использованы следующие сокращения: 
  -  ОПДС - оператор по переводу денежных средств;
  -  ОПС - оператор платежной системы;
  -  ОУПИ - оператор услуг платежной инфраструктуры (операционный центр, платежный клиринговый центр и расчетный центр);
  -  БПА (БПСА) ЮЛ - банковский платежный агент (субагент), являющийся юридическим лицом;
  -  БПА (БПСА) ИП - банковский платежный агент (субагент), являющийся индивидуальным предпринимателем.

Как видно из этого распределения, меньше всего требований распространяется на операторов платежных систем. Если проанализировать 382-П, то можно увидеть, что эти требования, исходя из сущности оператора платежной системы, связаны именно с организацией и контролем обеспечения защиты информации в рамках платежной системы (установление требований и определение порядка применения мер по защите информации, взаимодействие с участниками платежной системы в части сбора сведений о защите информации в платежной системе, организация реагирования на инциденты ИБ и др.).

Больше всего требований ложится соответственно (по убывающей) на операторов по переводу денежных средств, операторов услуг платежной инфраструктуры и банковских платежных агентов (субагентов). 

При этом в отношении различных типов операторов услуг платежной инфраструктуры, а именно: операционных, платежных клиринговых и расчетных центров - различий в требованиях практически нет. Исключением являются требования п. 2.16.2 Положения 382-П в части доведения оператором услуг платежной инфраструктуры до оператора платежной системы информации об обеспечении в платежной системе защиты информации при осуществлении переводов денежных средств, которые не распространяются на операционные центры, находящихся за пределами РФ.

Если же смотреть применимость требований 382-П к различным категориям субъектов НПС в разрезе групп требований, то получается следующая картина: 

На рисунке использованы следующие обозначения: 
  -  " - " - в группе отсутствуют требования, применимые к категории субъектов НПС;
  -  " + " - все требования группы применимы к категории субъекта НПС;
  -  "+/-" - часть требований применима к категории субъекта НПС.

Из этой статистика, например, видно, что в отношении банковских платежных агентов (субагентов) в большей степени применимы требования, связанные с реализацией системы защиты информации, и в меньшей с вопросами менеджмента ИБ. 

понедельник, 20 августа 2012 г.

C пополнением вас - Платежные системы

Знаковое событие для регулирования НПС произошло: Банком России зарегистрированы первые операторы платежных систем, которыми стали:
  • АКБ "РУССЛАВБАНК" (ЗАО) - Платежная система CONTACT (дата регистрации - 03.08.2012);
  • ОАО КБ "ЮНИСТРИМ" - Международная платежная система денежных переводов "ЮНИСТРИМ" (дата регистрации - 10.08.2012).
По обоим платежным системам оператор платежной системы является одновременно и расчетным, и платежным клиринговым, и операционным центром.

Таким образом на текущий момент в рамках НПС есть три платежные системы: 
  • Платежная система Банка России (но основании 161-ФЗ и Положения ЦБ РФ от 29.06.2012 № 384-П "О платежной системе Банка России");
  • Платежная система CONTACT;
  • Международная платежная система денежных переводов "ЮНИСТРИМ". 
Напомню, что реестр операторов платежных систем публикуется Банком России в соответствии со 161-ФЗ "О национальной платежной системе" (статья 15) и Положением Банка России от 02.05.2012 № 378-П "О порядке направления в Банк России заявления о регистрации оператора платежной системы" (п.п. 2.3 и 2.4).

Сам реестр размещается на сайте ЦБ тут.

среда, 15 августа 2012 г.

Mind-карта документов на тематике Национальной платежной системы

В ходе изучения нормативной базы по тематике национальной платежной системы подготовил вот такую подборку нормативных документов, регулирующие эту сферу. Здесь представлены не только документы, напрямую касающиеся регулирования ИБ в НПС (выделены оранжевым фоном), но и другие документы (в основном Банка России), которые показались мне интересными с точки зрения понимания тематики НПС и регулирования деятельности по переводам денежных средств. 

В mind-карте используются следующие сокращения:
  • ОПС - оператор платежной системы;
  • ОУПИ - оператор услуг платежной инфраструктуры;
  • ОПДС - оператор по переводу денежных средств;
  • ОЭДС - оператор электронных денежных средств.

Mind-карта в pdf - тут.

P.S. Напомню, что на вкладке "Нормативная база", также содержится непосредственно подборка самих документов по вопросам ИБ в банковской сфере. В том числе, начал наполнять документами по тематике НПС.

    пятница, 10 августа 2012 г.

    Семинары по НПС на август

    В продолжения темы, куда можно пойти поучиться по НПС, нашел еще два учебных мероприятия, которые пройдут в августе по это тематике, это:
    • Семинар "Защита информации в Национальной платежной системе в соответствии с Постановлением Правительства № 584 "О защите информации в платежной системе" и Положением Банка России 382-П", который пройдет 29 августа в Институте банковского дела АРБ. Принять участие в семинаре можно как очно, так и онлайн.
      Программа вкратце: 
      • Что такое Национальная платежная система;
      • ФЗ-161 и его влияние на информационную безопасность;
      • Иерархия требований по информационной безопасности;
      • Оценка соответствия по вопросам ИБ в рамках НПС;
      • Персональные данные при переводе денежных средств; 
      • Наказание за неисполнение ФЗ-161 и подзаконных актов; 
      • Контроль и надзор в области защиты информации в НПС.
    • и Семинар "Закон о национальной платежной системе. Основные требования по организации платежных систем. Контроль со стороны гос. регуляторов", который пройдет 20 августа в Банковском учебном центре "Финансовый дом" также в формате очного семинара и вебинара.
      Программа вкратце: 
      • Основы Национальной платежной системы;
      • Влияние закона о национальной платежной системы на законодательство РФ;
      • Взаимосвязь закона об НПС и закона о деятельности по приему платежей (103-ФЗ), сходства и различия.
    Первый семинар рассчитан именно на специалистов по информационной безопасности, а вот у второго целевая аудитория несколько иная: финмониторинг, внутренний контроль, юристы. Но не смотря на это, мне кажется что он будет вполне полезен и ИБ-спецам для лучшего понимания сторон взаимодействия в НПС и потребностей бизнеса. 

    Кстати, решил завести на блоге новую страничку "Обучение", где вести подборку учебных материалов по вопросам обеспечения ИБ в банковской сфере, в последнее время частенько возникала потребность иметь эту информацию аккумулированную в одном месте. Сейчас там уже выложены ближайшие мероприятия по тематикам НПС и СТО БР ИББС. Надеюсь и Вам эта подборка будет полезна. 

    четверг, 9 августа 2012 г.

    Письмо МГТУ Банка России о сдаче отчетности 0403203 в бумажном виде

    Вчера Банк России направил в кредитные организации информационное письмо, суть которого в том, что первая отчетность по форме 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств" предоставляется кредитными организациями в бумажном виде. 

    Напомню, что необходимость сдачи отчетности по форме 0403203 установлена Указание Банка России от 09.06.2012 № 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств".

    Срок сдачи отчетности за июль - 14 августа 2012г.


    четверг, 26 июля 2012 г.

    Разъяснения ЦБ по применению норм 161-ФЗ "О национальной платежной системе"

    Изучая материалы, выложенные Банком России на своем сайте, наткнулся на раздел, посвященный регулированию в платежной системе Российской Федерации, в котором ЦБ в том числе опубликованы ответы на вопросы, поступающие от кредитных организаций по применению норм Федерального закона № 161-ФЗ "О национальной платежной системе" и Федерального закона № 103-ФЗ "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами". 


    На текущий момент опубликовано два документа: часть 1 и часть 2, которые по большей части касаются отдельных вопросов деятельности платежных агентов (по 103-ФЗ) и банковских платежных агентов (по 161-ФЗ) и их взаимодействия с кредитными организациями. 


    Из темы 161-ФЗ интересно пояснение по вопросу того, в каком случае кредитная организация подлежит регистрации Банком России в качестве оператора платежной системы. Пояснение следующее: 

    Согласно пункту 20 статьи 3 Федерального закона № 161-ФЗ платежная система – совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы , операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств. Таким образом, банк - резидент, осуществляющий переводы денежных средств по поручению банков - резидентов и (или ) банков -нерезидентов , подлежит регистрации Банком России в качестве оператора платежной системы, если участниками этой системы являются не менее трех банков - резидентов. Если в системе отсутствуют участники, являющиеся банками - резидентами, либо их менее трех, то оператор такой системы не подлежит регистрации Банком России в качестве оператора платежной системы. 

    К сожалению, в этих документах ЦБ не указал даты их публикации (как, в общем, он не указывает и по некоторым другим документам, выложенным на сайте ЦБ). - Судя по комментариям в конце второй части о разработке Банком России проекта нормативного акта о правилах осуществления перевода денежных средств, эти документы датированы не позже середины июня 2012, т.к. тот самый проект уже утвержден в виде Положения Банка России от 19 июня 2012 г. № 383-П "О правилах осуществления перевода денежных средств".


    Хорошо бы, чтобы ЦБ не забросило эту практику и продолжило публично разъяснять вопросы, поступающие от кредитных организаций в части выполнения требований 161-ФЗ.

    вторник, 24 июля 2012 г.

    Вебинар по продукту ISM Revision: Risk Manager

    Принял сегодня участие в вебинаре от компании ISM Systems по их новому продукту ISM Revision: Risk Manager, о чем и хотел с вами поделиться. 

    В рамках вебинара разрабочики представили свой новый продукт, показали его интерфейс и прошлись по основным шагам, необходимым для оценки рисков ИБ. Запись вебинара обещали выложить в свободный доступ.

    Итак, основные моменты по представленному продукту Risk Manager:

    Основы разработки методологии для этого продукта:
    • РС БР ИББС-2.2-2009
    • ISO 27005,
    • ОCTAVE,
    • NIST.
    В системе уже есть заранее проработанная со стороны разработчиков и внесенная в систему аналитика, которая может использоваться при проведении оценки рисков, что сокращает временные затраты на проведение оценки рисков. Среди такой аналитики:
      • критерии оценки ущерба,
      • перечень типовых информационных активов,
      • перечень нарушителей,
      • перечень угроз и способов реализации угроз,
      • перечень предпосылок реализации угроз,
      • перечень защитных мер.
      При этом остается возможность самостоятельной настройки системы и добавления дополнительный сведений, присущих конкретной организации.

      Основные шаги оценки рисков с помощью продукта: 

      • определение параметров оценки рисков (критерии оценки, уровень допустимого рисков);
      • определение области оценки рисков (перечень информационных активов, объекты среды, оценка ценности информационных активов);
      • определение угроз ИБ (предпосылки реализации угроз, источники угроз);
      • оценка вероятности реализации угроз и степени тяжести последствий реализации угроз; 
      • определение уровня рисков ИБ (качественные и количественные оценки);
      • составление плана обработки рисков ИБ;
      • формирование отчетной документации по результатам оценки рисков ИБ.

      Из заложенных в систему отчетов:

      • Перечень информационных активов;
      • Перечень объектов среды;
      • Протокол утверждения критериев оценки рисков;
      • Сводный и детализированный реестры рисков;
      • План обработки рисков.

      Из прочего интересного: 
      • Способы реализации угроз разделены исходя из затрагиваемых свойств ИБ: конфиденциальности, целостности, доступности. Т.е. когда мы оцениваем угрозы, то фокусируемся на конкретных последствиях с точки зрения К, Ц и Д. 
      • Процесс оценки рисков организуется применительно к группам объектов среды, в качестве которых может выступать информационные системы, АБС, территориальные подразделения или другие сущности, которыми удобно оперировать пользователю при оценки рисков. Исходя из выбранной детализации групп объектов среды можно получить необходимую детализацию оценки рисков ИБ.
      • Заложена автоматизация расчетов СТП реализации угроз исходя из ценности информационных активов, обрабатываемых в рамках оцениваемой группы объектов среды.
      • Заложена автоматизация расчетов СВР угроз исходя из актуальных предпосылок, источников угроз и применяемых защитных мерах. В системе предусмотрены и уже проставлены коэффициенты по защитным мерам и по источникам угроз, влияющие на  расчет СВР, при этом их можно изменять самому + менять итоговую оценку применительно к каждому конкретному риску ИБ.
      • Наличие двух режимов работы с системой: мастера и экспертного режима.
      • Импорт/экспорт результатов оценок.
      Таковы основные моменты, полученные из прошедшего вебинара. Более подробно возможности продукта можно будет оценить после тестирования демо версии этого продукта, которую разработчики обещали предоставить после вебинара по запросу на адрес - sales@ismsys.ru.

      Относительно цены решения - была озвучена только стоимость максимального пакета, включающего ПО, обучение двух специалистов и пакет шаблонов ОРД по оценке рисков ИБ - порядка 270 тыс. руб. За более подробной информацией завернули опять таки на sales@ismsys.ru.

      Еще один момент, который хотел бы отметить - разработчики ISM Systems анонсировали в рамках вебинара разработку с их стороны продукта по автоматизации оценки соответствия выполнения требований по защите информации при осуществлении переводов денежных средств в соответствии с Положеним Банка России 382-П.

      upd:
      Появилась запись прошедшего вебинара: 

      среда, 18 июля 2012 г.

      Семинар в АИС по тематике НПС

      Побывал вчера в Академии Информационных Систем на семинаре "Вопросы обеспечения защиты информации при осуществлении переводов денежных средств и контроля за их соблюдением". Не смотря на то, что само мероприятие было платным, участников оно собрало  достаточно много (по подсчетом АИС порядка 60 человек), среди которых были представители кредитных и не кредитных организаций, участников НПС, а также интеграторы - куда же без них =). Из докладчиков - представители АИС, Банка России и НП "АБИСС". 

      Вступительную часть семинара провел эксперт АИС - Левиев Д.О., осветивший основные аспекты законодательного регулирования в национальной платежной системе, терминологию и отдельные моменты. В заключении семинара выступал представитель НП "АБИСС" - Дроздов А.В., но его тема не относилась напрямую к тематике НПС, а в большей части затрагивала само партнерство и его развитие. 

      Наибольший же интерес (по крайней мере для меня) представляло выступление представителя Банка России Харламова В.П. (Начальник отдела Департамента регулирования расчетов (ДРР) Банка России) - всегда интересно послушать регуляторов.

      Валерий Павлович прошелся по основным требованиям 161-ФЗ и документов Банка России к обеспечению защиты информации при осуществлении переводов денежных средств, затронул вопросы оценки выполнения установленных требований, а также контроля и надзора со стороны ЦБ.

      Ниже хочу привести основные интересные мысли, прозвучавшие в выступлениях докладчиков:
      • Может ли кредитная организация не входить ни в одну платежную систему и ни являться оператором по переводу денежных средств? Нужно ли в этом случае сдавать отчетность в ЦБ? - вопрос не понятный, сам представитель ЦБ не знает на него ответ - запрошено разъяснение в Юридический департамент ЦБ.
      • На текущий момент в России нет ни одного зарегистрированного оператора платежной системы в соответствии с требования законодательства о НПС, пока только одна организация подала в ЦБ заявление о ее регистрации в качестве оператора платежной системы. 
      • Регистрации подлежат именно операторы платежной системы, а не сами платежные системы.
      • Банк России по закону является оператором платежной системы Банка России, но сказать что он зарегистрирован нельзя, т.к. не выполнены обязательные требования. 
      • Требования 161-ФЗ и ПП 584 в целом хорошо коррелируют с требованиями 382-П. В законе и ПП написано много всего, но контролироваться в итоге будут требования 382-П, поэтому на них и надо ориентироваться в первую очередь. 
      • Банковские платежные агенты (субагенты) не входят в платежную систему (не являются участниками платежной системы) - граница платежной системы (зона ответственности оператора платежной системы) проходит по оператору по переводу денежных средств), проверять и контролировать платежных агентов должны операторы по переводу денежных средств, которые их привлекли. 
      • Требования по обеспечению ИБ в НПС базируются на требованиях СТО БР ИББС, но ряд моментов был сознательно упрощен,  а также отдельные разделы (менеджмент) был существенно перефразированы. 
      • По сравнению со СТО БР ИББС появились элементы нормативного регулирования, а также ответственность за нарушение требований (Статья 15.36. Неисполнение предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе - до 500  тыс. руб.).
      • В НПС заложены элементы борьбы с полным не выполнением отдельных требований (корректирующие коэффициенты к1 и к2) , при этом ЦБ признало свой просчет с методикой оценки соответствия по СТО БР ИББС, в части оценки группового показателя по выполнению требований по обработки ПДн (М9), когда невыполнение одного требований приводит к понижению итогового уровня. Такая позиция оказалось слишком жесткой, так как тот же Роскомнадзор смотрит на невыполнение отдельных требований по обработке ПДн довольно лояльно. 
      • У участников рынка нет четкого понимания кто есть кто в НПС: являются ли они операторами платежной системы, операторами по переводу денежных средств и др., а также какие конкретно действия необходимо предпринимать в настоящий момент, и надо ли вообще что-то делать. 
      Конечно, это далеко не все, что обсуждалось на семинаре - все не объять. 

      Были среди вопросов, обсуждавшихся на семинаре и те, которые не нашли своего ответа,  например, как быть с информированием клиентов о проведенных платежах, когда в смс сообщаются остатки денежных средств на счетах клиентов, которые в соответствии с текущими требования должны соответствующим образом защищаться. 

      В целом, не смотря на скептические отношения отдельных моих коллег к этому мероприятию, мол коллективное чтение и т.п., мне прошедший семинар понравился: немного систематизировал текущую информацию, получил новую, послушал мнения регулятора, а также других участников рынка.  

      В заключение, хочу отметить как всегда хорошую организацию мероприятия со стороны АИС! 
      По окончании же мероприятия еще и свидетельства АИС выдали. 

      Материалы семинара организаторы обещали позже (после определенных авторских правок) выложить в публичный доступ или передать участникам семинара, так что возможно скоро появятся в сети. 

      понедельник, 16 июля 2012 г.

      Членство в НП "АБИСС" - а нужно ли?

      Анализ последнего исследования НП "АБИСС" о практике применения СТО БР ИББС в кредитных организациях, а также изучение их обновленного сайта сподвигли меня задуматься о целесообразности и ценности членства в этом самом Партнерстве для различных типов организаций, в большей степени для организаций-консультантов и организаций-аудиторов, поскольку на текущий момент я работаю именно в интеграторе.

      Для начала немного статистики по участникам НП "АБИСС": 
      • организации-консультанты практически совпадают с организациями-аудиторами, лишь  один интегратор из всех (ЗАО «Бэлл Интегратор») получил только один статус организации-аудитора - все остальные имеют сразу по два: и аудитора, и консультанта;
      • учитывая количество присоединившихся к стандарту кредитных организаций, их доля в НП "АБИСС" катастрофически мала: хоть и не на много, но даже меньше доли консультантов и аудиторов. Отсутсвие жестких правил для кредитных организаций, а также каких-либо взносов за членство в Партнерстве - не исправляет ситуацию. Многие предпочитают держаться пока в стороне;
      • из учебных центров пока только один АИС вошел в Партнерство - но это и не удивительно, так как именно тут проходят согласованные с НП "АБИСС" курсы по тематике СТО БР ИББС. 
      Итак, на одной чаше весов оценки нужности вступления в НП "АБСИ" - затраты для организаций-консультантов и организаций-аудиторов на участие в НП "АБИСС":
      • Вступительный взнос (уплачивается организациями единовременно при подаче заявления на вступление в члены НП «АБИСС»:
        • для претендующих на вступление в группу организаций-аудиторов – 500 тыс.руб.;
        • для претендующих на вступление в группу организаций-консультантов – 250 тыс. руб. 
      • Ежегодный членский взнос (уплачивается членами НП «АБИСС» по истечению одного года после оплаты вступительного взноса»:
        • для организаций-аудиторов –  500 тыс. руб.; 
        • для организаций-консультантов –   250 тыс. руб. 
      • Затраты на прохождения профильного обучения (повышения квалификации) по программам согласованным с Партнерством: 
        • для организаций-аудиторов – не менее 3-х сотрудников обученных по аудиту ИБ –  по сути курсы в АИС СБР040 "Аудит ИБ организаций БС РФ". Стоимость обучения:  47,5 тыс. руб + 3 чел. = 142,5 тыс. руб.;
        • для организаций-консультантов – не менее 3-х сотрудников обученных по программам, согласованным с Партнерством – по сути курсы в АИС СБР010,  СБР020, СБР030 "Введение, Внедрение, Самооценка". Стоимость обучения: 67,5 тыс. руб + 3 чел. = 202,5 тыс. руб.
      • Затраты на поддержание квалификации персонала в части обучения по программам согласованным с Партнерством - с учетом текучки кадров ежегодно в среднем придется обучать по одному сотрудники по аудиту и по внедрению СТО БР ИББС, это соответственно еще плюс ежегодные затраты:
        •  для организаций-аудиторов – 47,5 тыс. руб.;
        • для организаций-консультантов – 67,5 тыс. руб.
      Таким образом совокупные затраты на участи в НП "АБИСС" составляют:
      • для организации-аудиторов: порядка 650 тыс. руб. первоначальные и порядка 550 тыс. руб. дальнейшие ежегодные. 
      • для организаций-консультантов: порядка 450 тыс. руб. первоначальные и порядка 300 тыс. руб. дальнейшие ежегодные.
      На другой чаше весов оценки нужности вступления в НП "АБСИ" - преимущества для организаций от членства в Партнерстве, для оценки которых предлагаю обратиться к исследованию НП "АБИСС", в котором представлены следующие интересные диаграммы по привлечению кредитными организациями консультантов и аудиторов к работам по СТО БР ИББС:
      Из этих диаграмм в частности видно, что на текущий момент по уже проведенным работам членство в НП "АБИСС" не являлось главным преимуществом при выборе исполнителя для работ. Однако в настоящий момент, в том числе столкнувшись с определенным отрицательным опытом привлечения неквалифицированных интеграторов, ряд организаций в большей степени ориентируется на дальнейшее привлечения к работам по СТО БР ИББС именно участников партнерства "АБИСС", как более надежных исполнителей. 

      При этом, необходимо учитывать, что исследование НП "АБИСС" проводилось на основе опроса именно ИБ-представителей кредитных организаций, которые, по большей части, осознают необходимость привлечения квалифицированных консультантов, однако какой фактор будет решающим при финальном выборе исполнителя - большой вопрос. Практика показывает, что порой, не смотря на мнения своих ИБ-ков, руководство в итоге принимает решение в пользу меньшей цены.

      четверг, 12 июля 2012 г.

      Вебинары по продуктам ISM Revision для автоматизации процессов СТО БР ИББС

      Не так давно компания ISM Systems анонсировала свой новый продукт по тематике СТО БР ИББС - ISM Revision: Risk Manager. Это решение было представлено в июне месяце на прошедшей в Москве межбанковской конференции «Вопросы обеспечения безопасности Национальной платежной системы и дистанционного банковского обслуживания».

      Пожалуй, это первое специализированное решение по оценке рисков информационной безопасности, учитывающее требования стандарта СТО БР ИББС-1.0 и методику оценки рисков РС БР ИББС-2.2, хотя и с некой ее оптимизацией. Если кто знает другие - то пишите в комментариях.

      При этом разработчики не стали все-таки замыкаться только на нуждах СТО БР ИББС и постарались сделать более универсальный продукт, применимый для более широкого круга задач (ISO, PCI DSS и пр.) - такова предварительная оценка этого продукта.

      Ждем демо-версию - а пока разработчики предлагают 24 июля поучаствовать в вебинаре, в рамках которого они представят сам продукт, а также покажут каким образом его использовать для оценки рисков ИБ с учетом требований различных стандартов (СТО БР ИББС, ISO, PCI DSS). - Зарегистрироваться на вебинар можно тут.

      Также на 16 августа компанией ISM Systems запланирован еще один вебинар, уже по другому своему продукту - ISM Revision:Audit Manager, о котором я подробнее уже писал тут и тут. Регистрация на вебинар соответственно тут.

      среда, 11 июля 2012 г.

      НП "АБИСС" - Практика применения Комплекса документов Банка России по обеспечению информационной безопасности

      На днях наткнулся на исследование НП "АБИСС" по практике применения документов Комплекса БР ИББС в кредитных организациях. 
      Исследование проведено в первом квартале 2012 года и основано на опросе 50 кредитных организаций различного масштаба и территориальной распределенности, что на мой взгляд не совсем репрезентативная выборка, учитывая общее количество кредитных организаций в РФ - могли бы и пошире копнуть =) 
      Рис. 1. Выборка респондентов для исследования
      Итак, в исследовании представлены результаты в разбивке по следующим направлениям: 
      • Бюджет и присоединение к Стандарту
      • Кадровый вопрос
      • Выполнение работы и планы по внедрению Стандарта
      По первым двум разделам для меня наиболее интересными показались следующие результаты: 
      • 52% опрошенных высказались за обязательный статус Стандарта;
      • по сравнению с результатами предыдущих исследований количество кредитных организаций без выделенного подразделения ИБ сократилось с 30% до 2%;
      • 45 % банков имеют в штате как минимум одного сотрудника, прошедшего курсы по СТО БР ИББС;
      • основная проблема кредитных организаций при поиске специалистов по ИБ (38 % опрошенных) связана с низким уровнем предлагаемой заработной платы.
      Интересные цифры получены по заработной плате сотрудников ИБ: 
      Рис. 2. Заработная плана сотрудников ИБ кредитных организаций
      По своему опыту могу сказать, что с одной стороны маленькие ЗП зачастую свойственны маленьким и средним кредитным организациям, а вот работа в крупном банке далеко не всегда гарантирует высокую ЗП. Кроме того, поскольку опрос проводился как по Москве, так и по регионам, то тут наверное надо учитывать значительно меньшие ЗП в регионах, где специалисты по ИБ по большей части получают ЗП менее 1000 $. 

      В части выполнения работ по внедрению Стандарта (3-ая часть) в исследовании приведены следующие интересные и наверное закономерные результаты: 
      • только 6 % опрошенных ни разу не проводили оценку соответствия Стандарту;
      • в 70 % оценка соответствия проведена собственными силами (самооценка), столько же организаций планируют продолжать эту работу своими силами;
      • 52 % не планируют привлекать консультантов к дальнейшим работам по внедрению стандарта;
      • 42 % организаций на текущий момент ни разу не проводили анализ рисков ИБ. 
      В части планов по продолжению работ по внедрению Стандарта в исследовании получены следующие результаты: 
      Рис. 3. Планы по проведению работ
      С самим исследованием можно ознакомиться тут.

      вторник, 10 июля 2012 г.

      НПС - где и чему учат?

      Тематика НПС в последнее время активно муссируется на различных мероприятиях по ИБ, а также в блогосфере, вытесняя на второй план тематики СТО БР и даже ПДн. Много вопросов, много непонятных мест. В связи с этим на днях проанализировал, какие в ближайшее время планируются учебные мероприятия по тематике Национальной платежной системы. Результаты анализа свел ниже.

      Место
      Тематика
      Ближайшая дата
      Длительность
      Стоимость
      АИС
      Семинар «Вопросы обеспечения защиты информации при осуществлении переводов денежных средств и контроля за их соблюдением» - подробно
      17.07.2012
      1 день
      (6 часов)
      5664 руб.
      Финансовый консалтинг
      Алексей Лукацкий – Курс по НПС - подробно
      19.07.2012
      1 день
      6 000 руб.
      АИС
      Курс "Введение в основные нормы НПС и защиту информации при осуществлении переводов денежных средств организаций участников НПС РФ" - подробно
      15.10.12–16.10.12
      19.11.12–20.11.12
      2 дня
      (16 часов)
      15 000 руб.
      АИС
      Курс "Реализация национального законодательства и требований Банка России по защите информации при осуществлении переводов денежных средств в рамках НПС" - подробно
      17.10.12–19.10.12
      21.11.12–23.11.12
      3 дня
      (24 часов)
      25 000 руб.
      АИС
      Курс "Контроль, оценка соответствия и самооценка соблюдения требований к защите информации при осуществлении переводов денежных средств" - подробно
      22.10.12–24.10.12
      26.11.12–28.11.12
      3 дня
      (24 часов)
      25 000 руб.


      Если у кого есть дополнительная информация - велкам!

      вторник, 13 марта 2012 г.

      Экспресс-оценка на соответствие СТО БР ИББС-1.0 от ISM Systems

      На днях компания ISM Systems в развитие своей системы автоматизации оценки соответствия анонсировала новый онлайн-сервис "Экспресс-оценка", который по заявлению авторов позволяет быстро получить общее представление о степени соответствия ИБ организаций БС РФ требованиям стандарта СТО БР ИББС-1.0-2010. 

      Проведя небольшое тестирование данного сервиса, готов поделиться основными результатами и своими ощущениями о сервисе.

      Как я уже сказал это онлайн-сервис, для доступа к нему необходимо пройти по ссылке:  http://express.ismsys.ru/  и указать свой почтовый адрес. На этом собственно процесс регистрации и заканчивается, после чего можно уже использовать сам сервис.  


      Порадовало то, что вбиваемые в систему результаты сохраняются в ней. После очередного входа под тем же почтовым адресом у вас отображаются результаты, внесенные вами в прошлый раз.

      В плане эргономики все довольно приятно, ничего лишнего, все работает довольно четко и быстро. Лично я тестировал этот сервис с планшета - все работает на ура. Не всегда правда попадал пальцами по чек-боксам, ну на то зум пригодился =).

      Вообще тема с работой с подобными системами с планшета меня очень привлекает, так как это порой очень удобно при проведении непосредственно аудитов или самооценок ИБ, так как прибавляет аудитору мобильности и позволяет ему оперативно получать необходимую информацию и вводить в систему новую. Насколько я понимаю основной модуль ISM Revision: Audit Manager как раз предоставляет аудитору такую возможность, причем как в варианте исполнения с виртуальным сервером, так и в SaaS решении. А если бы и протоколы сразу туда вбивать по ходу опросов и наблюдений ... =)

      В части процесса оценки разработчики сервиса провели определенную перегруппировку и переработку частных показателей СТО БР ИББС-1.2 (коих там более 3-х сотен), получив порядка 100 мероприятий, сгруппированных в следующие 16 доменов: 
      1. Управление доступом и регистрацией
      2. Антивирусная защита
      3. Безопасность при использовании сети Интернет
      4. Информационная безопасность при использовании СКЗИ  
      5. Безопасность банковских технологических процессов
      6. Безопасность при осуществлении ДБО
      7. Безопасность персональных данных
      8. Обеспечение информационной безопасности АБС на стадиях жизненного цикла
      9. Служба информационной безопасности
      10. Организация системы менеджмента информационной безопасности
      11. Управление информационными активами
      12. Управление рисками информационной безопасности
      13. Безопасность при управлении персоналом
      14. Мониторинг, контроль и управление инцидентами информационной безопасности
      15. Непрерывность бизнеса и ее восстановление после прерывания
      16. Аудит и самооценка информационной безопасности
      Сами мероприятия получились довольно понятными, так как отражают реальные шаги, необходимые для приведения кредитных организаций к соответствию требованиям СТО БР ИББС-1.0. В итоге необходимо просмотреть каждый домен и отметить те мероприятия, которые уже реализованы в организации (документированы и выполнены - промежуточных оценок в сервисе не предусмотрено). Далее кликаем на "Рассчитать" и слева получаем основные оценки по направлениям ИБ и круговую диаграмму в разбивке по групповым показателям. У меня на планшете при вдумчивом прочтении и выборе реализованных мероприятий весь процесс занял чуть более часа чистого времени.

      При этом в сервисе есть ряд ограничений, так в нем нет учета уточняющих вопросов по персональным данным приложения В СТО БР ИББС-1.2, а также нет раздельной оценки частных показателей ИБ из М1-М6 по направлениям банковского платежного, информационного процессов и в рамках которого обрабатываются ПДн. Но это в принципе и понятно, уместить это в рамках экспресс-оценки задача не простая. Для оценки в таких деталях надо проводить все-таки полноценную оценку соответствия по всем канонам СТО БР ИББС-1.2.

      Подводя итог могу сказать, что представленная компанией ISM Systems идея довольно интересна - получить за 1-2 часа общее представление о состоянии ИБ кредитной организации в шкале СТО БР ИББС-1.2 довольно заманчиво. Понятно, что это не полноценная оценка соответствия и ее результаты не направишь в ЦБ как результаты самооценки (хотя может кто-то и может), но для тех кредитных организаций, кто еще не начинал работы по приведению к соответствию СТО БР ИББС, теперь это наиболее быстрый способ понять свой текущий уровень ИБ и наметить дальнейшие шаги.